Un adolescent de 14 ans développe le malware Silex, qui efface le firmware des appareils IdO mal protégés
Et rend l'appareil inutilisable
Le 2019-06-27 14:51:52, par Stéphane le calme, Chroniqueur Actualités
Un développeur adolescent et son équipe ont mis au point un nouveau programme malveillant, Silex, qui a délibérément bloqué des appareils IdO mal protégés par milliers, sur une courte période. Les attaques se sont arrêtées lorsque le serveur de commande et de contrôle est tombé en panne vers 16 heures EST. Même sans le serveur de commande et de contrôle pour envoyer des instructions, le logiciel malveillant a continué d'exécuter ses routines sur les appareils infectés.
Larry Cashdollar de l'équipe Akamai Security Intelligence Response Team (SIRT) a été le premier à découvrir Silex. Le malware a frappé son honeypot en essayant des informations d'identification par défaut sur une connexion telnet.
Le chercheur affirme que Silex supprime le système infecté en écrivant des données aléatoires à partir de '/ dev / random' sur tous les lecteurs de stockage détectés.
« En examinant les échantillons binaires collectés dans mon pot-de-miel, je vois que Silexbot appelle fdisk -l qui va alors répertorier toutes les partitions du disque. À l'aide de cette liste, Silexbot écrit ensuite des données aléatoires de / dev / random sur l'une des partitions qu'il découvre », a-t-il expliqué dans un billet dans lequel il a livré son une analyse.
Silex exécute certaines commandes néfastes qui suppriment les configurations réseau, effacent les règles iptables et ajoutent une règle qui supprime toutes les connexions avant de redémarrer le périphérique.
Ces instructions rendent l'appareil affecté inutilisable. Pour retrouver l’usage de leurs appareils, les victimes doivent réinstaller manuellement le micrologiciel du périphérique, une tâche parfois trop compliquée pour la majorité des propriétaires de périphériques. Il n’est pas exclu que certains propriétaires jettent leurs appareils, pensant avoir eu une panne matérielle sans savoir qu'ils ont été touchés par des logiciels malveillants.
Cashdollar a examiné les fichiers binaires des systèmes ARM, mais une version du shell Bash était également disponible au téléchargement, de sorte que toute architecture de type UNIX aurait pu être une cible.
Une équipe de trois personnes dont un adolescent de 14 ans
Selon le chercheur en sécurité Ankit Anubhav de NewSky, Silex a été créée par une équipe de trois personnes, le principal responsable étant un adolescent d'un pays européen utilisant les pseudonymes 'Light The Leafon' et 'Light The Sylveon'. Les deux autres membres sont "Alx" et "Skiddy".
Light The Leafon est l'auteur d'un autre bot appelé HITO, basé sur un autre programme malveillant IdO appelé Mirai. Il a rapidement développé des compétences lui permettant d'écrire son propre botnet.
Quant au but de Silex, il est conçu uniquement pour bricoler des dispositifs IdO afin d’empêcher les script kiddies de les atteindre. Autrement dit, l'auteur de programmes malveillants s'oppose à ce que les développeurs moins expérimentés puissent compromettre des systèmes non protégés et les utiliser pour gagner de l'argent.
Lors de l’exécution, Silex affiche le message suivant de l’auteur, s’excusant de cette attaque et en expliquant la raison.
Anubhav a parlé à Light de HITO il y a deux mois et a publié l'interview sur son podcast. L'auteur a déclaré lors de l'entretien qu'il avait 14 ans. Light a déclaré que le projet avait démarré comme une blague mais qu'il était maintenant devenu un projet à temps plein et qu'il avait abandonné l'ancien botnet HITO pour Silex.
L'adolescent a déclaré qu'il envisageait de développer davantage le logiciel malveillant et d'ajouter des fonctions encore plus destructrices. « La fonctionnalité originale de BrickerBot sera retravaillée », a déclaré Light à Anubhav.
Les plans incluent l’ajout de la possibilité de se connecter à des périphériques via SSH, en plus de la capacité de détournement de Telnet actuelle. De plus, Light prévoit également d'incorporer des exploits dans Silex, donnant ainsi au logiciel malveillant la possibilité d'utiliser des vulnérabilités pour pénétrer dans des appareils, de la même manière que la plupart des réseaux de botnets IoT actuels.
« Mon ami Skiddy et moi allons retravailler tout le bot », a assuré Light. « Il va cibler chaque exploit connu du public que charge Mirai ou Qbot ».
En somme, le plan initial de Silex consistait à développer un réseau de robots en intégrant de nouvelles méthodes de compromissions, telles que des exploits pour les vulnérabilités connues.
Voici les commandes Silex
Sources : Akamai, podcast Anubhav, twitter
Voir aussi :
Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
Une vulnérabilité WinRAR vieille de 19 ans mène à plus de 100 exploits de malwares, mais elle a été corrigée dans la dernière version
265 chercheurs dans le monde ont mis en commun leurs découvertes, contribuant à éliminer plus de 100 000 sites Web de distribution de malwares
Les crypto-mineurs ont encore dominé le classement des malwares ayant eu le plus d'impact, dans l'édition de janvier du Global Threat Index
Larry Cashdollar de l'équipe Akamai Security Intelligence Response Team (SIRT) a été le premier à découvrir Silex. Le malware a frappé son honeypot en essayant des informations d'identification par défaut sur une connexion telnet.
Le chercheur affirme que Silex supprime le système infecté en écrivant des données aléatoires à partir de '/ dev / random' sur tous les lecteurs de stockage détectés.
« En examinant les échantillons binaires collectés dans mon pot-de-miel, je vois que Silexbot appelle fdisk -l qui va alors répertorier toutes les partitions du disque. À l'aide de cette liste, Silexbot écrit ensuite des données aléatoires de / dev / random sur l'une des partitions qu'il découvre », a-t-il expliqué dans un billet dans lequel il a livré son une analyse.
Silex exécute certaines commandes néfastes qui suppriment les configurations réseau, effacent les règles iptables et ajoutent une règle qui supprime toutes les connexions avant de redémarrer le périphérique.
Ces instructions rendent l'appareil affecté inutilisable. Pour retrouver l’usage de leurs appareils, les victimes doivent réinstaller manuellement le micrologiciel du périphérique, une tâche parfois trop compliquée pour la majorité des propriétaires de périphériques. Il n’est pas exclu que certains propriétaires jettent leurs appareils, pensant avoir eu une panne matérielle sans savoir qu'ils ont été touchés par des logiciels malveillants.
Cashdollar a examiné les fichiers binaires des systèmes ARM, mais une version du shell Bash était également disponible au téléchargement, de sorte que toute architecture de type UNIX aurait pu être une cible.
Une équipe de trois personnes dont un adolescent de 14 ans
Selon le chercheur en sécurité Ankit Anubhav de NewSky, Silex a été créée par une équipe de trois personnes, le principal responsable étant un adolescent d'un pays européen utilisant les pseudonymes 'Light The Leafon' et 'Light The Sylveon'. Les deux autres membres sont "Alx" et "Skiddy".
Light The Leafon est l'auteur d'un autre bot appelé HITO, basé sur un autre programme malveillant IdO appelé Mirai. Il a rapidement développé des compétences lui permettant d'écrire son propre botnet.
Quant au but de Silex, il est conçu uniquement pour bricoler des dispositifs IdO afin d’empêcher les script kiddies de les atteindre. Autrement dit, l'auteur de programmes malveillants s'oppose à ce que les développeurs moins expérimentés puissent compromettre des systèmes non protégés et les utiliser pour gagner de l'argent.
Lors de l’exécution, Silex affiche le message suivant de l’auteur, s’excusant de cette attaque et en expliquant la raison.
Anubhav a parlé à Light de HITO il y a deux mois et a publié l'interview sur son podcast. L'auteur a déclaré lors de l'entretien qu'il avait 14 ans. Light a déclaré que le projet avait démarré comme une blague mais qu'il était maintenant devenu un projet à temps plein et qu'il avait abandonné l'ancien botnet HITO pour Silex.
L'adolescent a déclaré qu'il envisageait de développer davantage le logiciel malveillant et d'ajouter des fonctions encore plus destructrices. « La fonctionnalité originale de BrickerBot sera retravaillée », a déclaré Light à Anubhav.
Les plans incluent l’ajout de la possibilité de se connecter à des périphériques via SSH, en plus de la capacité de détournement de Telnet actuelle. De plus, Light prévoit également d'incorporer des exploits dans Silex, donnant ainsi au logiciel malveillant la possibilité d'utiliser des vulnérabilités pour pénétrer dans des appareils, de la même manière que la plupart des réseaux de botnets IoT actuels.
« Mon ami Skiddy et moi allons retravailler tout le bot », a assuré Light. « Il va cibler chaque exploit connu du public que charge Mirai ou Qbot ».
En somme, le plan initial de Silex consistait à développer un réseau de robots en intégrant de nouvelles méthodes de compromissions, telles que des exploits pour les vulnérabilités connues.
Voici les commandes Silex
Code : |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 | "busybox cat /dev/urandom >/dev/mtdblock0" "busybox cat /dev/urandom >/dev/sda" "busybox cat /dev/urandom >/dev/ram0" "busybox cat /dev/urandom >/dev/mmc0" "busybox cat /dev/urandom >/dev/mtdblock10" "fdisk -C 1 -H 1 -S 1 /dev/mtd0" "fdisk -C 1 -H 1 -S 1 /dev/mtd1" "fdisk -C 1 -H 1 -S 1 /dev/sda" "fdisk -C 1 -H 1 -S 1 /dev/mtdblock0" cat /proc/mounts cat /dev/urandom | mtd_write mtd0 - 0 32768 cat /dev/urandom | mtd_write mtd1 - 0 32768 busybox cat /dev/urandom >/dev/mtd0 & busybox cat /dev/urandom >/dev/sda & busybox cat /dev/urandom >/dev/mtd1 & busybox cat /dev/urandom >/dev/mtdblock0 & busybox cat /dev/urandom >/dev/mtdblock1 & busybox cat /dev/urandom >/dev/mtdblock2 & busybox cat /dev/urandom >/dev/mtdblock3 & busybox route del default cat /dev/urandom >/dev/mtdblock0 & cat /dev/urandom >/dev/mtdblock1 & cat /dev/urandom >/dev/mtdblock2 & cat /dev/urandom >/dev/mtdblock3 & cat /dev/urandom >/dev/mtdblock4 & cat /dev/urandom >/dev/mtdblock5 & cat /dev/urandom >/dev/mmcblk0 & cat /dev/urandom >/dev/mmcblk0p9 & cat /dev/urandom >/dev/mmcblk0p12 & cat /dev/urandom >/dev/mmcblk0p13 & cat /dev/urandom >/dev/root & cat /dev/urandom >/dev/mmcblk0p8 & cat /dev/urandom >/dev/mmcblk0p16 & route del default iproute del default ip route del default rm -rf /* 2>/dev/null & iptables -F iptables -t nat -F iptables -A INPUT -j DROP iptables -A FORWARD -j DROP halt -n -f reboot |
Voir aussi :
-
TheLastShotMembre extrêmement actifQuant au but de Silex, il est conçu uniquement pour bricoler des dispositifs IdO afin d’empêcher les script kiddies de les atteindre. Autrement dit, l'auteur de programmes malveillants s'oppose à ce que les développeurs moins expérimentés puissent compromettre des systèmes non protégés et les utiliser pour gagner de l'argent.le 29/06/2019 à 2:12
-
phil995511Membre éprouvéUne phrase qui résume bien ce que je pense à ce sujet dit "les jeunes cons d'aujourd'hui seront les vieux cons de demain"... Il en a une sacré couche ce jeune homme (tout comme ces petits copains), ça commence mal pour lui !!!
Ça me rappel un article sur un gentil hacker qui infiltrait des routeurs mal protégés avec un soft pour les sécuriser et leur éviter ainsi que des programmes mal veillant puissent en prendre le contrôle à des fins criminelles.
Il y a "une ligue de gentils développeurs extraordinaires" et une d'idiots qui ne pense pas aux conséquences de leurs actes...le 28/06/2019 à 12:19 -
defZeroMembre extrêmement actifset LOLMODE on
Unikernel dans ta fasse IoT Maker
unset LOLMODE
Plus sérieusement, si les fabricants voulez bien ce sortir les doigts.
Ils pourraient ne plus mettre tout un OS généraliste dans de l'IoT avec cette surface d'attaque de malade, mais un unikernel spécialisé tout simplement.le 27/06/2019 à 19:17 -
6carbonMembre avertiPour un gamin de 14 ans c'est balèze. Mais dans l'absolu profiter d'une connexion telnet mal sécurisée c'est à peine au-dessus d'un script kiddy.
Et puis s'il voulait vraiment empêcher d'autres script kiddies de profiter de cette faille, il pouvait tout simplement empêcher le démarrage du service telnet.le 28/06/2019 à 10:55 -
abriotdeMembre chevronnéIl y a "une ligue de gentils développeurs extraordinaires" et une d'idiots qui ne pense pas aux conséquences de leurs actes
Le problème viens du fait de laisser les mots de passe par défaut, qui viens lui même du fait que les gens veulent de l'informatique simple...
Après c'est certains que son programme est vraiment bien méchant. La seul gentillesse qu'il laisse c'est qu'il n'utilise pas la machine infecté pour aller plus loin... Il aurait été autrement plus difficile à arrêter.le 28/06/2019 à 18:59 -
walfratMembre émériteCertain disent que la meilleur défense c'est l'attaque après tout ...le 27/06/2019 à 16:21